Docndoc

Médecins libéraux : un nouveau référentiel RGPD pour la gestion de vos cabinets médicaux

Temps de lecture : 5 minutes
En juillet 2020, la CNIL (Commission Nationale de l’Informatique et des Libertés) a rédigé un référentiel relatif à la mise en conformité du traitement des données personnelles utilisées dans la gestion de votre cabinet médical. Ce référentiel s’adresse à tous les médecins libéraux. Celui-ci est consultable sur le site de la CNIL.

Si vous êtes :
  • un médecin généraliste ou spécialiste libéral exerçant dans son propre cabinet
  • un médecin généraliste ou spécialiste libéral exerçant dans un cabinet de groupe
  • un médecin généraliste ou spécialiste libéral exerçant en maison de santé
Alors vous êtes concerné par ce référentiel. Celui-ci est non obligatoire. Cependant, tout médecin devra justifier ses démarches de mise en conformité s’il décide de faire autrement.

Comment mettre en conformité les traitements de données personnelles ? Comment mettre en application ce référentiel pour votre cabinet libéral ? Combien de temps devez-vous garder les dossiers de vos patients ?

L’Ordre des Médecins a créé une FAQ (foire aux questions) pour vous aider à y voir plus clair. Nous avons condensé les informations en un seul article.
Vous n’êtes pas encore installé.e ? Découvrez toutes les modalités pour une installation en libéral en bonne et due forme !

Remplacement de la norme NS-50

Vous avez déjà un engagement de conformité à la norme NS-50 ? Aucun besoin de faire de faire une déclaration auprès de la CNIL, car ce référentiel remplace cette norme simplifiée. Vous devez donc, en tant que médecin, vous conformer aux nouvelles règles RGPD.

Comment mettre en application ce référentiel RGPD?

  • Vous devez tenir un registre des traitements (trouver un exemple ici)
  • Sécuriser les données traitées
  • Désigner un délégué à la protection des données, le cas échéant (voir plus bas)
  • Réaliser une AIPD, le cas échéant (voir plus bas)

Sécurisation du dossier des patients et du secret médical

Si vous passez un prestataire de service pour assurer la maintenance du logiciel, des postes de travail et l’hébergement des dossiers de vos patients, faites bien attention à ce que ce prestataire soit bien agréé ou certifié pour l’hébergement des données de santé, conformément à l’article L 1111-8 du code de la santé publique.

Sur le contrat qui vous lie, les clauses suivantes doivent obligatoirement figurer :
  • Une clause relative à la protection des données et conforme à l’article 28 du RGPD
  • Une clause relative à la sécurité des données (voir à la page 9 du guide)
  • Une clause relative aux conditions de restitution et de destruction des données en fin de contrat
Attention : afin de garantir le secret médical, les prestataires de service ne doivent pas accéder aux dossiers des patients. Il est donc très important de chiffrer les données.

Vous utilisez une plateforme de prise de rendez-vous?

Vous devez passer un contrat avec l’éditeur de cette plateforme, qui doit comporter les clauses suivantes :
  • une clause répartissant de manière claire les responsabilités de l’éditeur et du médecin dans la gestion des données personnelles des patients
  • une clause relative à la protection des données et conforme à l’article 28 du RGPD
  • une clause relative à la sécurité des données
  • une clause relative aux conditions de restitution et de destruction des données en fin de contrat

Durée de conservation des données de vos patients

A partir de leur première prise en charge, les dossiers des patients peuvent être conservés pendant vingt ans. Une fois les vingt ans écoulés, il convient de supprimer ou d’anonymiser les données des patients afin de les archiver.

Cependant, il est recommandé de prolonger la durée dans certains cas, à savoir :
  • si le patient est mineur et que la durée de 20 ans expire avant son 28ème anniversaire, prolonger la conservation du dossier jusqu’à cette date
  • décès du patient moins de dix ans après la date de sa dernière consultation, conserver le dossier pendant 10 ans à compter de la date du décès
  • en cas d’action tendant à mettre en cause votre responsabilité
Les doubles des feuilles de soin électroniques, eux, doivent être conservés pendant 3 mois.

Droits des patients au regard de leurs données personnelles

Retenez bien que les patients doivent être informés des modalités du traitement de leurs données, ainsi que de la manière dont ils peuvent exercer leurs droits. Ces informations peuvent être portées à la connaissance du patient par voie d’affichage ou par la remise d’un document en main propre.
Vous pouvez retrouver ces informations, et bien d’autres, dans notre tout nouveau guide dédié à l’installation en libéral, disponible dans quelques jours ! Demandez à le recevoir au plus vite.
Les patients disposent de ces droits :
  • droit d’accès à toutes les données les concernant et à leur dossier médical
  • droit de rectification des données qui sont erronées ou incomplètes droit à la limitation du traitement. Si un patient conteste l’exactitude des données le concernant, vous devez procéder aux vérifications nécessaires concernant cette demande. Pendant ce délai, le patient peut vous demander de geler temporairement le traitement de ses données
  • le droit à l’effacement des données est écarté s’agissant des données figurant dans le dossier médical. En effet, ce droit ne doit pas aller à l’encontre du respect d’une obligation légale (conservation des dossiers médicaux et droit d’accès des patients) et il ne s’applique pas dans la mesure où le traitement des données est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique

Mesures complémentaires pour les médecins en cabinet de groupe

Si vous êtes médecin, que vous exercez en cabinet de groupe, que vous partagez un système d’information commun et que votre cabinet groupé reçoit plus de 10 000 patients par an, vous devez obligatoirement désigner un DPO (délégué à la protection des données). Vous pouvez effectuer gratuitement cette démarche sur le site de la CNIL.

Vous devez également réaliser une AIPD (analyse d’impact sur la protection des données) afin de construire des traitements de données personnelles respectueux de la vie privée de vos patients, et de démontrer votre taux de conformité au RGPD. Vous pouvez utiliser l’outil de la CNIL mis à votre disposition.

Si vous le souhaitez, vous pouvez ensuite l’envoyer à cette adresse afin d’obtenir un avis consultatif à la DPO de l’Ordre des médecins. En revanche, vous devez soumettre votre analyse d’impact sur la protection des données à la CNIL, mais seulement lorsque l’analyse présente des risques résiduels élevés. Vous devrez alors indiquer votre numéro SIREN, ainsi que le numéro de formalité (6 ou 7 chiffres) si votre AIPD est liée à un dossier de formalité. Attention, le document ne peut excéder 20 Mo.

No Comments

Add your comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.